Plataforma
php
Componente
qdpm
Corrigido em
9.1.1
CVE-2018-25208 é uma vulnerabilidade de SQL Injection presente no qdPM 9.1. Essa falha permite que atacantes não autenticados injetem código SQL malicioso através dos parâmetros filter_by, possibilitando a extração de informações sensíveis do banco de dados. As versões afetadas são 9.1–9.1. Recomenda-se atualizar para uma versão corrigida, caso disponível.
A vulnerabilidade CVE-2018-25208 afeta o qdPM, expondo os usuários a um risco significativo de injeção de SQL. Essa vulnerabilidade permite que atacantes não autenticados extraiam informações confidenciais do banco de dados. O vetor de ataque se concentra nos parâmetros filterby[CommentCreatedFrom] e filterby[CommentCreatedTo] dentro do endpoint timeReport. Um atacante pode enviar solicitações POST maliciosas com código SQL injetado nesses parâmetros, permitindo que executem consultas SQL arbitrárias e acessem dados confidenciais. A falta de autenticação necessária para explorar essa vulnerabilidade a torna particularmente perigosa, pois qualquer pessoa com acesso à rede pode potencialmente comprometer o banco de dados. A pontuação CVSS de 8.2 indica um risco alto, exigindo atenção imediata. A ausência de uma correção oficial (fix: none) agrava a situação, deixando os usuários vulneráveis até que medidas de mitigação sejam implementadas.
A vulnerabilidade CVE-2018-25208 no qdPM é explorada por meio de solicitações POST direcionadas ao endpoint timeReport. Um atacante constrói uma solicitação POST com dados maliciosos nos parâmetros filterby[CommentCreatedFrom] e filterby[CommentCreatedTo]. Esses parâmetros, sem a validação adequada, permitem a injeção de código SQL. O atacante pode injetar comandos SQL arbitrários que serão executados no banco de dados subjacente. A falta de autenticação significa que qualquer usuário com acesso à rede pode tentar explorar essa vulnerabilidade. O sucesso da exploração depende da configuração do banco de dados e dos privilégios do usuário do banco de dados usados pelo qdPM. Uma vez explorada, o atacante pode extrair informações confidenciais, modificar dados ou até mesmo assumir o controle do banco de dados.
Organizations deploying qdPM version 9.1 are at direct risk. Specifically, environments where the timeReport endpoint is exposed to the internet or accessible to untrusted users are particularly vulnerable. Shared hosting environments utilizing qdPM 9.1 should be considered high-risk due to the potential for cross-tenant exploitation.
• php / web:
grep -r "filter_by[CommentCreatedFrom]" /var/www/qdPM/timeReport.php• generic web:
curl -X POST -d "filter_by[CommentCreatedFrom]='; DROP TABLE users; --" http://your-qdpm-server/timeReport• generic web: Examine access logs for POST requests to /timeReport with unusual or malformed filter_by parameters.
• generic web: Check response headers for SQL errors or unexpected behavior after submitting crafted requests.
disclosure
Status do Exploit
EPSS
0.09% (percentil 25%)
CISA SSVC
Vetor CVSS
Considerando que não há uma correção oficial para CVE-2018-25208 no qdPM, a mitigação se concentra em medidas de segurança complementares. A validação e sanitização rigorosas de todas as entradas do usuário, especialmente os parâmetros filterby[CommentCreatedFrom] e filterby[CommentCreatedTo], são cruciais. Implementar uma lista de permissão de caracteres permitidos e rejeitar qualquer entrada contendo caracteres inesperados pode ajudar a prevenir a injeção de SQL. Além disso, recomenda-se fortemente o uso de consultas parametrizadas ou procedimentos armazenados em vez de construir consultas SQL dinamicamente. A segmentação de rede e a limitação de privilégios do banco de dados também podem ajudar a reduzir o impacto de uma possível exploração. Monitorar ativamente os logs do servidor em busca de padrões suspeitos de injeção de SQL é essencial para a detecção precoce. Considere atualizar para uma versão mais recente do qdPM, se disponível, ou procurar soluções alternativas que abordem essa vulnerabilidade.
Actualizar qdPM a una versión posterior a la 9.1 que solucione la vulnerabilidad de inyección SQL. Si no hay una versión disponible, se recomienda aplicar un parche de seguridad que filtre y escape correctamente las entradas de los parámetros filter_by[CommentCreatedFrom] y filter_by[CommentCreatedTo] en el endpoint timeReport.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
A injeção de SQL é um tipo de vulnerabilidade de segurança que permite que os atacantes interfiram nas consultas enviadas a um banco de dados.
qdPM é um software que contém a vulnerabilidade CVE-2018-25208. Informações específicas sobre sua funcionalidade não estão disponíveis no contexto fornecido.
Essa vulnerabilidade permite que os atacantes acessem informações confidenciais do banco de dados, o que pode ter sérias consequências para a privacidade e a segurança.
Se você estiver usando qdPM, provavelmente será vulnerável a menos que tenha implementado medidas de mitigação.
Você pode encontrar mais informações sobre CVE-2018-25208 em bancos de dados de vulnerabilidades, como o National Vulnerability Database (NVD).
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.